作者:中国工商银行金融科技研究院区块链研究团队
随着互联网的出现和普及,数字身份已经逐渐融入到我们的日常生活,传统的身份(如身份证或户口本等实物证件)也逐渐被数字身份所替代。目前我们使用的数字身份以中心化的数字身份为主,由单一服务平台提供身份信息管理和身份认证服务,用户需要在不同服务平台重复提交原始的证明材料注册不同账号来进行身份认证。同时,服务平台可以根据协议单方面停用或注销用户账号,甚至将账号回收后重新分配给其他用户,如果这些账号(如手机号和邮箱等)又关联了用户其他账号,通过短信验证码登录或重置密码,将存在冒用他人账号和偷看他人信息的风险。此外,各个服务平台存有大量用户的身份数据,由于管理水平参差不齐,导致数据泄露的案件时有发生。为了解决上述问题,结合以区块链为代表的去中心化分布式账本技术,业界提出了去中心化数字身份的解决方案。本文将简要介绍去中心化数字身份技术的原理,展望其在金融行业的应用前景。
一、什么是去中心化数字身份
数字身份是实体(包括人、设备、应用程序等)身份在网络空间的映射,是实体身份的数字化表现形式。数字身份主要由数字身份标识和身份属性构成,其中数字身份标识可以类比实体身份的身份证号,身份属性则可以类比与实体身份相关的一切数字信息,如性别、年龄、家庭住址、个人爱好等。传统数字身份是中心化的数字身份,由单一应用服务平台提供和管理,身份的使用局限于单一平台。
去中心化数字身份(Decentralized Identity,DID)又称为分布式数字身份或基于区块链的数字身份,是一种通过分布式账本技术使其具备去中心化技术特性的新型数字身份。DID可以让用户拥有和控制自己的数字身份,而不是依赖于某个中心化的服务提供商。
与传统的中心化数字身份相比,DID在控制权、隐私保护、互操作性、安全性和管理成本等方面存在优势。在控制权方面,用户可以决定如何存储和使用自己的身份数据,不需要依赖于第三方机构。在隐私保护方面,只有经过用户授权才能访问和使用用户的身份信息,减少了用户信息被滥用和泄露的风险。在互操作性方面,遵循统一开放的规范协议,可以跨平台、跨机构和跨场景共享和使用经过用户授权的身份数据,不需要用户在不同平台和应用之间重复注册不同账号。在安全性方面,用户的身份数据通过分布式账本(如区块链)进行发布和验证,降低了被篡改和被滥用的风险。在管理成本方面,用户的身份数据可以由用户自主管理,企业不需要投入大量资源来存储和保管用户身份数据。
二、去中心化数字身份技术
近年来业界围绕DID制定了一系列技术标准和协议,其中W3C(万维网联盟)的DID规范和协议被广泛认可和应用,业界DID产品基本上都遵循该规范协议。在W3C的规范中,DID的组成主要包括分布式标识、可验证凭证和分布式账本(如图1所示)。
图1 去中心化数字身份的组成
分布式身份标识(DID标识)是一个特定格式的字符串(格式为:did:example:123456789abcdefghi),可以用来代表任意一个实体,全网唯一。DID标识采用公私钥机制,通过私钥签名和公钥验证来实现身份认证。每个DID标识会绑定一个DID文档,用于记录该DID标识的相关信息,其中包括最关键的公钥信息。公钥会随DID文档发布到分布式账本上全网公开,私钥则由实体自己保管,从而实现了一种去中心化的数字身份验证方式。
可验证凭证(Verifiable Credential),类似于我们日常生活中的各种证明材料(如出生证明、收入证明等),一般由可信的权威机构颁发。可验证凭证除了包含发行者对指定用户提出的声明信息(如医院出具的出生证明,包含持证人的出生时间、地点以及父母等信息)外,还带有使用了发行者的DID标识私钥所生成的数字签名信息。由于该私钥由发行者保管和使用,其他人无法伪造,同时其他用户可以使用公钥进行快速验证,包括验证该凭证是否由可信的权威机构颁发,凭证内容是否有被篡改,确保凭证的可信度和权威性。
分布式账本是一种基于点对点的网络的数据库,去中心化特性是其核心特点之一,所有交易都需要经过共识机制进行验证,以确保所有参与者的账本记录一致。通过使用分布式账本注册和维护DID标识,存储和公布DID文档,即使没有权威的中心化CA(认证机构),也能实现DID标识全网唯一,每个实体都能拥有一个(或多个)独一无二的身份标识。此外,所有用户都可以通过分布式账本获得DID标识公钥,对用户提供的数字签名和凭证进行验证。
三、去中心化数字身份的工作流程
W3C规范还提出了可验证凭证流转的参考模型,该模型由身份持有者、凭证发行者、凭证验证者和可验证数据注册中心组成(如图2所示)。
图2 可验证凭证流转模型
身份持有者是一个实体,拥有一个或多个DID标识和可验证凭证;凭证发行者也是一个实体,同样拥有一个或多个DID标识,具有一定权威性,如政府部门、金融机构等,可以基于某个实体的声明颁发可验证凭证,然后将凭证提供给身份持有者自行保管;凭证验证者一般为服务提供方,通过接收身份持有者提供的一个或多个可验证凭证,对其身份进行确认,为符合条件的用户提供服务;可验证数据注册中心用于注册和维护DID标识,采用分布式账本(如区块链等)存储和公布DID文档。
可验证凭证流转模型的工作流程主要包括注册身份、请求凭证、颁发凭证、保存凭证、出示凭证和验证凭证六个环节。
注册身份
身份持有者、凭证发行者和凭证验证者需要先在可验证数据注册中心上注册一个DID标识,获得一个全网唯一的数字身份标识。注册身份的操作可以由用户自主完成,通过密码学算法生成一对公私钥,私钥由用户自己保管,公钥作为DID文档的一部分登记到可验证数据注册中心,对全网所有用户公开。
请求凭证
前文提到“数字身份主要由数字身份标识和身份属性构成”,通过身份注册,用户已经获得了一个全网唯一的数字身份标识,而身份属性还需要通过可验证凭证来实现。所有实体都能颁发可验证凭证,但服务提供方只接受他们信任和认可的服务机构颁发的可验证凭证。因此,用户需要选择一个大家信任和认可的服务机构,作为凭证发行者为自己颁发后续可用于证明自己身份和权益的数字凭证。
颁发凭证
凭证发行者先对用户提供的身份信息进行核验,核验通过后为用户颁发其需要的数字凭证。由于凭证中带有凭证发行者DID标识私钥生成的数字签名,可以为凭证中的声明内容进行背书,用户可以通过出示凭证来证明自己的身份和权益。
保存凭证
凭证发行者给用户颁发凭证后,用户作为身份持有者对带有自己的身份属性信息的数字凭证拥有自主控制权,可以选择安全和便捷的保存方式,如保存在本地或其他存储设备中,以备后续在需要时出示和使用。
出示凭证
服务提供方在向用户提供服务前,需要作为凭证验证者对用户的身份和权益进行确认,需要用户提供能证明其身份和权益的相应凭证。用户作为身份持有者从已保存的凭证列表里选择符合要求的凭证提供给服务提供方。
验证凭证
服务提供方作为凭证验证者接收到用户提供的一个或多个凭证,可以从凭证中获取到凭证发行者的DID标识,然后从可验证数据注册中心获得凭证发行者DID标识的公钥,再对凭证中的数字签名进行验证,可以确认凭证的真伪和内容是否有被篡改。验证通过后,服务提供方为符合条件的用户提供相关服务。
总的来说,去中心化数字身份与传统的中心化数字身份相比,主要区别在于服务提供方对用户进行身份认证可以无需依赖于第三方认证服务机构。用户保管自己的身份认证数据(私钥和凭证),需要时再提供给服务提供方。验证信息通过分布式账本存储和发布,服务提供方可以从可验证数据注册中心获取DID标识的公钥,对用户提供的数字签名和数字凭证进行验证来确认用户的身份。
四、去中心化数字身份的应用
去中心化数字身份可以解决用户在不同平台和机构之间身份认证,数据共享和协作等问题。下面以供应链金融、数字资产和数据流通应用为例,说明去中心化数字身份在其中所发挥的作用。
供应链金融
供应链金融存在的问题主要包括信息不对称,以及风险防控和监管水平不足。各类信息分散在不同的参与方手上,线下流程纸质单据的真实性难以验证,上下游多级供应商、经销商无法借助核心企业的信用进行贷款融资,导致中小企业融资困难。去中心化数字身份可以为供应链金融提供一种统一的身份认证机制,通过可验证凭证,参与者可以通过技术手段验证流转信息以及单据的真实性和有效性,提高风险防控和监管水平,做到交易可追溯和公开透明,实现核心企业的信用向下游的中小企业传递,解决供应链中小企业的融资难、融资贵等问题。
数字资产
数字资产存在的问题主要包括数字资产的确权和私有化问题,以及数字资产在源头的真实性问题。在数字资产领域应用去中心化数字身份技术,主要涉及数字资产交易和所有权验证。在数字资产交易方面,参与者可以使用去中心化数字身份进行身份验证,无需依赖第三方机构,有助于提高交易的隐私性和安全性;在所有权验证方面,数字资产的所有者可以通过可验证凭证来证明自己对该资产的所有权,并对其进行验证,有助于防止数字资产的盗用和欺诈行为。
数据流通
数据流通存在的问题主要包括数据共享和流转复杂,一方面难以界定数据的权属,另一方面用户信息难以得到充分保护,容易发生隐私泄露。去中心化数字身份在数据流通领域发挥着重要的作用,在数据共享和流转方面,通过使用去中心化数字身份系统,用户或机构可以授权其他个人或机构访问自己的数据,同时可以控制数据的访问权限和共享范围,避免数据泄露和滥用。此外,结合可验证凭证,数据买家可以验证数据卖家的身份和数据的真实性,避免数据欺诈和假冒行为,促进数据的流通和利用。
去中心化数字身份应用前景广阔,可以提供更加安全、可靠的身份认证和管理方式,降低了运维风险和成本。目前去中心化数字身份尚处于不断发展和完善的过程中,国内的应用场景主要以试点验证为主。随着用户对个人信息主权和隐私保护诉求的不断提高,国内相关法律法规的不断完善,金融科技的不断发展和数字化的加速转型,以及Web3.0和元宇宙等前沿领域创新场景的不断探索,相信去中心数字身份将会得到越来越广泛的应用,并将成为构建未来身份认证体系必不可少的基础设施,为我们的工作和生活带来更多便利和安全保障。
MicroStrategy launches decentralized identity protocol on Bitcoin. Enhances security, Github draft released. Uses Ordinals for key generation. Enables authentication, future integration with credential ecosystems.
EdmundCardano Foundation has introduced a new offering known as the Identity Wallet, a W3C-compatible mobile wallet that manages self-sovereign identities across Cardano and other blockchain networks.
Olive
Coinlive Coinlive Web3 menghadapi 'krisis identitas'. Karena prevalensi bot dan sybiller, komponen inti yang mengikat komunitas terdesentralisasi menjadi hilang: kepercayaan.
BitcoinistPara ahli melihat manfaat untuk berbagai industri dan potensi penghematan biaya dalam operasi bisnis.
Beincrypto
NulltxPengguna Metaverse dapat menemukan kembali diri mereka sendiri dengan identitas digital yang dibangun di atas avatar dan aset digital, tetapi ada tantangan yang harus dipertimbangkan.
CointelegraphPeraturan akan datang, dan DEX perlu meningkatkannya untuk bertahan hidup, mengharuskan KYC untuk mengatasi badai peraturan yang akan datang.
CointelegraphSeperti apa identitas kita di Metaverse? Web3 terdesentralisasi menunjukkan bahwa itu akan sepenuhnya berada dalam kendali kami, tetapi semakin banyak informasi yang disimpan secara online menyarankan sebaliknya.
Cointelegraph